Vanliga frågor och svar om ATA

Om du har en aktiv företagsavtal kan du ladda ned programvaran från Microsoft Volume Licensing Center (VLSC).

Om du har skaffat en licens för Enterprise Mobility + Security (EMS) direkt via Microsoft 365-portalen eller via csp-licensieringsmodellen (Cloud Solution Partner) och du inte har åtkomst till ATA via Microsoft Volume Licensing Center (VLSC) kontaktar du Microsofts kundsupport för att få processen att aktivera Advanced Threat Analytics (ATA).

Titta på det senaste felet i den aktuella felloggen (där ATA installeras under mappen Loggar).

Du kan simulera misstänkta aktiviteter som är ett test från slutpunkt till slutpunkt genom att göra något av följande:

1. DNS-rekognosering med hjälp av Nslookup.exe
2. Fjärrkörning med hjälp av psexec.exe

Detta måste köras via fjärranslutning mot domänkontrollanten som övervakas och inte från ATA Gateway.

Information om versionsuppgradering finns i ATA-uppgraderingssökvägen.

Information om uppgraderingsmatrisen för ATA-version finns i ATA-uppgraderingssökvägen.

ATA-identifieringsmekanismen förbättras när en ny version installeras i ATA Center. Du kan uppgradera centret antingen med Hjälp av Microsoft Update (MU) eller genom att manuellt ladda ned den nya versionen från Download Center eller Volume License Site.

Du kan placera följande kod i en fil och sedan köra den från en kommandotolk i katalogen: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin enligt följande:

mongo.exe ATA-filnamn

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA förlitar sig på att analysera flera nätverksprotokoll, samt händelser som samlas in från SIEM eller via Vidarebefordran av Windows-händelser. Identifieringar baserade på nätverksprotokoll med krypterad trafik (till exempel LDAPS och IPSEC) analyseras inte.

Aktivering av Kerberos Armoring, även kallat FAST (Flexible Authentication Secure Tunneling), stöds av ATA, med undantag för överpassning av hashidentifieringen som inte fungerar.

Antalet ATA-gatewayer beror på nätverkslayouten, mängden paket och mängden händelser som samlas in av ATA. Information om hur du fastställer det exakta antalet finns i ATA Lightweight Gateway-storlek.

För varje hel dag med i genomsnitt 1 000 paket per sekund behöver du 0,3 GB lagringsutrymme. Mer information om ATA Center-storlek finns i ATA-kapacitetsplanering.

Detta inträffar när ett konto är medlem i vissa grupper som vi anger som känsliga (till exempel "Domänadministratörer").

För att förstå varför ett konto är känsligt kan du granska dess gruppmedlemskap för att förstå vilka känsliga grupper det tillhör (den grupp som det tillhör kan också vara känslig på grund av en annan grupp, så samma process bör utföras tills du hittar den känsliga gruppen på högsta nivå).

Dessutom kan du tagga en användare, grupp eller dator manuellt som känslig. Mer information finns i Tagga känsliga konton.

De flesta virtuella domänkontrollanter kan omfattas av ATA Lightweight Gateway för att avgöra om ATA Lightweight Gateway är lämplig för din miljö, se ATA-kapacitetsplanering.

Om en virtuell domänkontrollant inte kan omfattas av ATA Lightweight Gateway kan du ha antingen en virtuell eller fysisk ATA Gateway enligt beskrivningen i Konfigurera portspegling.

Det enklaste sättet är att ha en virtuell ATA Gateway på varje värd där en virtuell domänkontrollant finns. Om dina virtuella domänkontrollanter flyttas mellan värdar måste du utföra något av följande steg:

• När den virtuella domänkontrollanten flyttas till en annan värd förkonfigurerar du ATA Gateway på värden för att ta emot trafiken från den nyligen flyttade virtuella domänkontrollanten.
• Se till att du kopplar den virtuella ATA Gateway till den virtuella domänkontrollanten så att ATA Gateway flyttas med den om den flyttas.
• Det finns några virtuella växlar som kan skicka trafik mellan värdar.

Se haveriberedskap för ATA

ATA identifierar kända skadliga attacker och tekniker, säkerhetsproblem och risker. En fullständig lista över ATA-identifieringar finns i Vilka identifieringar utför ATA?.

Vi rekommenderar snabb lagring (7200-RPM-diskar rekommenderas inte) med diskåtkomst med låg svarstid (mindre än 10 ms). RAID-konfigurationen bör ha stöd för tunga skrivbelastningar (RAID-5/6 och deras derivat rekommenderas inte).

ATA Gateway behöver minst två nätverkskort:
1. Ett nätverkskort för att ansluta till det interna nätverket och ATA Center
2. Ett nätverkskort som används för att avbilda nätverkstrafiken för domänkontrollanten via portspegling.
* Detta gäller inte för ATA Lightweight Gateway, som internt använder alla nätverkskort som domänkontrollanten använder.

ATA har en dubbelriktad integrering med SIEM:er på följande sätt:

1. ATA kan konfigureras för att skicka en Syslog-avisering till valfri SIEM-server med CEF-format när en misstänkt aktivitet identifieras.
2. ATA kan konfigureras för att ta emot Syslog-meddelanden för Windows-händelser från dessa SIEM:er.

Ja, du kan använda ATA Lightweight Gateway för att övervaka domänkontrollanter som finns i valfri IaaS-lösning.

Microsoft Advanced Threat Analytics är en lokal produkt.

Den här lösningen är för närvarande ett fristående erbjudande – det är inte en del av Microsoft Entra-ID eller lokal Active Directory.

Med Microsoft Advanced Threat Analytics behöver du inte skapa regler, tröskelvärden eller baslinjer och sedan finjustera. ATA analyserar beteendet bland användare, enheter och resurser – samt deras relation till varandra – och kan snabbt identifiera misstänkt aktivitet och kända attacker. Tre veckor efter distributionen börjar ATA identifiera beteendemässiga misstänkta aktiviteter. Å andra sidan börjar ATA identifiera kända skadliga attacker och säkerhetsproblem omedelbart efter distributionen.

Ja, även när ATA installeras efter att du har brutits kan ATA fortfarande identifiera misstänkta aktiviteter hos hackaren. ATA tittar inte bara på användarens beteende utan även mot andra användare i organisationens säkerhetskarta. Under den första analystiden, om angriparens beteende är onormalt, identifieras det som en "avvikande" och ATA fortsätter att rapportera om det onormala beteendet. Dessutom kan ATA identifiera den misstänkta aktiviteten om hackaren försöker stjäla andra användares autentiseringsuppgifter, till exempel Pass-the-Ticket, eller försöker utföra en fjärrkörning på en av domänkontrollanterna.

Förutom att analysera Active Directory-trafik med djup paketinspektionsteknik kan ATA också samla in relevanta händelser från din SIEM (Security Information and Event Management) och skapa entitetsprofiler baserat på information från Active Directory-domän Services. ATA kan också samla in händelser från händelseloggarna om organisationen konfigurerar vidarebefordran av Windows-händelseloggar.

Portspegling kallas även SPAN (Switched Port Analyzer) och är en metod för att övervaka nätverkstrafik. Med portspegling aktiverat skickar växeln en kopia av alla nätverkspaket som visas på en port (eller en hel VLAN) till en annan port, där paketet kan analyseras.

Nej. ATA övervakar alla enheter i nätverket som utför autentiserings- och auktoriseringsbegäranden mot Active Directory, inklusive icke-Windows- och mobila enheter.

Ja. Eftersom datorkonton (samt andra entiteter) kan användas för att utföra skadliga aktiviteter övervakar ATA alla datorkontons beteende och alla andra entiteter i miljön.

Microsoft Advanced Threat Analytics stöder miljöer med flera domäner inom samma skogsgräns. Flera skogar kräver en ATA-distribution för varje skog.

Ja, du kan visa den övergripande hälsan för distributionen samt specifika problem som rör konfiguration, anslutning osv. och du får aviseringar när de inträffar.

Se även

• FÖRUTSÄTTNINGAR FÖR ATA
• ATA-kapacitetsplanering
• Konfigurera händelsesamling
• Konfigurera vidarebefordran av Windows-händelser
• Kolla in ATA-forumet!